RiLi-Notfallmanagement (BCM): Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| Zeile 3: | Zeile 3: | ||
|keywords=ISMS,BCM,Notfall,Notfallmanagement,Kriese | |keywords=ISMS,BCM,Notfall,Notfallmanagement,Kriese | ||
|description=Notfallmanagement oder "Business Continuity Management" (BCM) bezieht sich auf den Prozess, wie Unternehmen und Organisationen vor, während und nach einem Notfall ihre Geschäftstätigkeit aufrechterhalten können. Im Bereich der IT bezieht sich BCM auf die Fähigkeit eines Unternehmens, seine IT-Systeme und -Prozesse nach einem Ausfall schnell und effektiv wiederherzustellen, um die Geschäftskontinuität sicherzustellen. | |description=Notfallmanagement oder "Business Continuity Management" (BCM) bezieht sich auf den Prozess, wie Unternehmen und Organisationen vor, während und nach einem Notfall ihre Geschäftstätigkeit aufrechterhalten können. Im Bereich der IT bezieht sich BCM auf die Fähigkeit eines Unternehmens, seine IT-Systeme und -Prozesse nach einem Ausfall schnell und effektiv wiederherzustellen, um die Geschäftskontinuität sicherzustellen. | ||
}} | }} | ||
Mustervorlage: '''"Richtlinie Notfallmanagement (BCM)"''' | |||
== Einleitung == | == Einleitung == | ||
Version vom 19. April 2023, 12:10 Uhr
Mustervorlage: "Richtlinie Notfallmanagement (BCM)"
Einleitung
Notfallmanagement oder "Business Continuity Management" (BCM) bezieht sich auf den Prozess, wie Unternehmen und Organisationen vor, während und nach einem Notfall ihre Geschäftstätigkeit aufrechterhalten können. Im Bereich der IT bezieht sich BCM auf die Fähigkeit eines Unternehmens, seine IT-Systeme und -Prozesse nach einem Ausfall schnell und effektiv wiederherzustellen, um die Geschäftskontinuität sicherzustellen.
Dies kann beinhalten, aber ist nicht beschränkt auf:
- Die Erstellung von Notfallplänen und -verfahren für IT-Systeme
- Die Durchführung von Übungen und Tests, um die Wirksamkeit der Notfallpläne zu überprüfen
- Die Dokumentation von IT-Systemen und -Prozessen, um eine schnelle Wiederherstellung zu ermöglichen
- Die Überwachung und Überprüfung der IT-Infrastruktur, um potentielle Ausfälle zu erkennen und zu verhindern
- Die Sicherung wichtiger Daten und Anwendungen, um Verluste im Falle eines Ausfalls zu vermeiden.
Das Notfallmanagement ist ein wichtiger Bestandteil des Gesamt-BCM der Organisation, das über die IT hinaus geht und muss daher in enger Zusammenarbeit mit anderen Bereichen wie Finanzen, Personalwesen und Produktion durchgeführt werden, um eine integrierte und umfassende Notfallvorsorge zu gewährleisten.
Begriffsdefinitionen
Schadensereignisse können den Betrieb der Organisation und damit die Erfüllung der Geschäftsprozesse negativ beeinflussen. Dabei werden drei Kategorien von Schadensereignissen unterschieden:
Störung
Eine Störung ist ein Schadensereignis, das im Normalbetrieb, d.h. innerhalb der maximal tolerierbaren Ausfallzeit behoben werden kann. Störungen werden im Rahmen des Incident-Managements im Regelbetrieb behoben und sind nicht Bestandteil eines Notfallmanagements. Dennoch kann es sinnvoll sein, auch Störungen im Rahmen des Notfallmanagements im Blick zu behalten, da ein gehäuftes Auftreten von Störungen auf ein strukturelles Problem hinweisen und damit das Risiko für einen Notfall erhöhen kann.
Notfall
Wenn die Auswirkungen einer Störung zu einem längeren Ausfall wichtiger Ressourcen führen und der reguläre Geschäftsbetrieb nicht innerhalb eines vereinbarten Zeitraums wiederhergestellt werden kann, spricht man von einem Notfall.
Krise
Ein Notfall, bei dem die Existenz der Organisation oder das Leben und die Gesundheit von Personen gefährdet sind, wird als Krise bezeichnet. Eine Krise ist ein langfristiges und ernstes Ereignis. Eine IT-Krise erfordert eine umfassende und strategische Reaktion, um die Auswirkungen auf die Organisation zu minimieren und den Betrieb wiederherzustellen.
Rechtliche Rahmenbedingungen
Auflistung der rechtlichen und vertraglichen Rahmenbedingungen der Organisation.
Geltungsbereich
Die Richtlinie Notfallmanagement gilt für alle Geschäftsprozesse, Organisationseinheiten und Standorte der Organisation.
Zielsetzung
Das Ziel des Notfallmanagements besteht darin, sicherzustellen, dass die Organisation in der Lage ist, ihre Geschäftstätigkeit vor, während und nach einem Notfall aufrechtzuerhalten. Die Organisation muss in der Lage sein, ihre IT-Systeme und -Prozesse schnell und effektiv wiederherzustellen, um die Geschäftskontinuität zu gewährleisten. Die Richtlinie Notfallmanagement legt den organisatorischen Rahmen sowie den Geltungsbereich fest und beschreibt die Notfallprozesse und -verfahren, die Verantwortlichkeiten, Kommunikationspläne, Business Impact Analyse (BIA), Wiederherstellungspläne, Übungen und Tests sowie die Dokumentation und Revision.
Geschäftsprozesse
IT-Systeme und Infrastruktur
In diesem Abschnitt sollte eine Übersicht über die wichtigsten IT-Systeme und die zugehörige Infrastruktur bereitgestellt werden, die zur Erfüllung der Geschäftsprozesse erforderlich sind.
Notfallprozesse und -verfahren
Hier sollten die Schritte beschrieben werden, die im Falle eines Notfalls ausgeführt werden müssen, einschließlich der Prozesse zur Wiederherstellung der IT-Systeme.
Verantwortlichkeiten
Organisationsleitung
Die Organisationsleitung verantwortet das Notfallmanagement für die gesamte Organisation. Die hat die Leitlinienkompetenz für den Gesamtprozess und stellt die notwendigen personellen und finanziellen Ressourcen bereit.
Notfall-Beauftragter
Der Notfall-Beauftragte organisiert alle Aktivitäten im Notfallmanagement. Er etabliert die Prozesse zur Notfallvorsorge, Notfallmanagement, Notfallkommunikation, Notfallübungen und zur Nachbereitung von Vorfällen und der Auswertung von Übungen. Der Notfall-Beauftragte stimmt sich dabei eng mit dem Betrieb, dem ISB und der Organisationsleitung ab.
Mitarbeitende
Auch alle Mitarbeitenden sind einen wichtigen Bestandteil des Notfallmanagements. Alle Mitarbeitenden sind aufgefordert, in ihren jeweiligen Aufgabenbereichen das Notfallmanagement zu unterstützen und mitzuwirken, dieses kontinuierlich weiterzuentwickeln, um die Organisation gegenüber Schadensereignissen und deren Auswirkungen resilienter zu machen.
Kommunikationspläne
Dieser Abschnitt sollte die Kommunikationskanäle und Verfahren beschreiben, die im Notfall genutzt werden, um sicherzustellen, dass alle relevanten Personen informiert werden.
Business Impact Analyse (BIA)
Aufgabe der Business Impact Analyse ist es, zu analysieren, wie gravierend sich Ausfälle von Ressourcen auf kritische Geschäftsprozesse auswirken können. Das Ergebnis gibt Aufschluss darüber, welche Prozesse und Ressourcen besonders abzusichern sind, damit die Organisation auch in Notfällen und Krisen ihre wesentlichen Aufgaben erfüllen kann. Aus diesen Grund werden für alle kritischen Geschäftsprozesse der Organisation Business Impact Analysen durchgeführt.
Wiederherstellungspläne
Für jeden kritischen Geschäftsprozess der Organisation werden Wiederherstellungspläne erstellt, die konkrete Maßnahmen und Handlungsanweisungen für einen Notbetrieb (Geschäftsfortführungsplan) und die vollständige Wiederherstellung (Wiederanlaufplan) enthalten:
Geschäftsfortführungsplan (GFP)
Ein Geschäftsfortführungsplan (GFP) ist ein Handlungsleitfaden zum Aufbau eines Notbetriebs in Notfällen oder Krisen. Der GFP regelt wie, wo und ggf. mit wem (z.B. externe Dienstleister) ein Notbetrieb der Geschäftsprozesse gewährleistet werden kann.
Ein GFP muss mindestens folgende Inhalte berücksichtigen:
Phasen eines Notfalls
- Alarmierung, Eskalation, Kommunikation
- Einleitung des Notbetriebs
- Durchführung des Notbetriebs
- Rückführung in den Normalbetrieb (Wiederanlauf)
sowie die Notfall-Szenarien
- Ausfall von Gebäuden/Arbeitsplätzen
- Ausfall von Personal
- Ausfall von IT-Systemen
- Ausfall von technischen Anlagen (Fertigung/Betrieb)
- Ausfall von Dienstleistern
- Ausfall von Informationen (Daten oder Dokumente)
Wiederanlaufplan
Die Wiederanlaufpläne ergänzt den Geschäftsfortführungsplan im Operativen. Der Wiederanlaufplan beschreibt konkret für einzelne Ressourcen, was in welcher Reihenfolge zu tun ist, um nach dem Ausfall die Wiederaufnahme und Fortführung der Betriebsfunktion zu ermöglichen. Wiederanlaufpläne sind für jede einzelne kritische Ressource zu erstellen.
Übungen und Tests
Es werden regelmäßig Übungen und Tests durchgeführt, um sicherzustellen, dass das Notfallkonzept funktioniert und alle beteiligten Personen wissen, was sie im Falle eines Notfalls tun müssen.
- Für alle kritische Geschäftsprozesse finden jährlich theoretische Tests statt (Überprüfung der Wiederherstellungspläne auf Aktualität und Plausibilität).
- Alle zwei Jahre und nach wesentlichen Änderungen finden praktische Tests statt in denen alle wesentlichen Funktionalitäten geprobt werden.
Dokumentation und Revision
Die Vorgaben dieser Richtlinie und nachrangiger Dokumente (Wiederherstellungspläne) werden vom Notfall-Beauftragten jährlich sowie bei wesentlichen Änderungen der Geschäftsprozesse auf Einhaltung und Aktualität überprüft.
Kontinuierliche Verbesserung
Der Notfall-Beauftragte überprüft kontinuierlich die Angemessenheit und Effizienz des Notfallmanagements. Er identifiziert Korrektur- und Verbesserungsmaßnahmen und passt das Notfallmanagement an.
Schlussbemerkung
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung
